L’industria 4.0 è strettamente legata alla connessione dei sistemi, che permette a livello globale una maggiore efficienza in ambito produttivo, grazie all’analisi dell’enorme quantità di dati ricavati dalle macchine connesse e a un controllo degli impianti centralizzato. In un contesto in cui cresce velocemente l’esigenza di connessione al web, il rischio di essere oggetto di cyberattacco aumenta vertiginosamente. L’infrastruttura OT è sempre più esposta alle potenziali minacce del World Wide Web proprio perché si è passati da una condizione di completo isolamento ad una di collegamento a infrastrutture di rete complesse. Le reti dati degli stabilimenti industriali, storicamente sviluppate a layer unico, senza alcuna segmentazione e senza il controllo di nessun organismo aziendale che le regolamentasse, richiedono quell’approccio specifico e approfondito alla cybersecurity che di fatto non è mai stato adottato.
Sicurezza industriale: scegliere un partner affidabile ed esperto fa la differenza
In tema di cybersecurity, un fenomeno comune a tanti impianti produttivi italiani è uno stato dell’arte piuttosto critico. Allarmismi a parte, spesso la gestione della sicurezza dell’ambiente OT viene affidata ad un reparto IT che applica regole non idonee per i sistemi di controllo industriali, ad esempio installando protezioni perimetrali ma tralasciando di segmentare la rete di stabilimento, tipicamente flat, ovvero non organizzata a layer. Le criticità sono abbastanza evidenti perché in caso di malware veicolato a mezzo di una pendrive, ad esempio, inserita incautamente da un operatore o manutentore (non dimentichiamoci che la maggioranza degli incidenti di sicurezza in fabbrica sono dovuti a disattenzione e/o mancanza di regole) il danno si propaga a macchia d’olio e tendenzialmente potrebbe arrivare fino all’ambiente IT (Information Technology o molto più comunemente ambiente Office).
Questa inconsistente configurazione delle misure di protezione è dovuta a una mancanza di esperienza in ambito di automazione industriale; ad esempio, firewall configurato con una protezione attiva da OT verso IT ma non viceversa, come a non considerare l’eventualità che un attacco possa essere sferrato all’IT con l’obiettivo di paralizzare la produzione; non a caso le vittime del fenomeno di spear phishing, tipicamente, non lavorano in fabbrica ma in ambiente Office.
Mettere in sicurezza i sistemi di controllo industriali in ambiente OT prevede l’utilizzo di metodologie specifiche che differiscono da quelle utilizzate a difesa di un ambiente IT; ciò perché le esigenze dei due ecosistemi sono ben distinte: in ambiente OT, l’obiettivo principale è la salvaguardia della continuità di produzione (disponibilità) tenendo conto delle peculiarità proprie dell’ambiente stesso quali, per esempio, l’obsolescenza di alcuni sistemi; al contrario, in ambiente IT lo scopo primario è quello di assicurare la riservatezza delle informazioni. Le aziende devono quindi poter fruire di servizi di sicurezza industriale appositamente studiati per il mondo dell’automazione e avvalersi del consulente migliore, in grado di offrire soluzioni di cybersecurity specifiche per l’ambiente OT.
Come abbiamo visto prima, nel processo di digitalizzazione di un’azienda, proteggere efficienza e disponibilità degli asset produttivi è imprescindibile, ma non sempre facile. Diventa allora cruciale potersi avvalere di un partner affidabile ed esperto lungo l’intero cammino di trasformazione digitale.
Servizi per la messa in sicurezza: il portfolio Siemens
Siemens ha maturato anni di esperienza e competenza come fornitore di prodotti e soluzioni per automazione industriale e implementato i concetti di sicurezza nei propri impianti di produzione, perché siano all’avanguardia per concezione e tecnologia. La profonda conoscenza dell’ambiente OT permette di poter aiutare i clienti a integrare gli stessi concetti di sicurezza nelle proprie realtà produttive.
Le direttive dello standard internazionale IEC 62443 sono le fondamenta su cui si basa l’offerta in tema di servizi per la messa in sicurezza di impianti e stabilimenti. Con l’approccio “Defense in Depth” Siemens ha sviluppato una strategia di sicurezza multilivello che include non solo la tecnologia necessaria ma anche tutta la formazione a supporto delle Aziende, affinché venga incrementato il livello di consapevolezza dei rischi a tutti i livelli della struttura organizzativa. Grazie a “Defense in Depth”, Siemens offre ai propri clienti un approccio olistico alla sicurezza: protegge impianti, reti e integrità del sistema secondo lo standard IEC 62443, il riferimento per la sicurezza nel settore dell’automazione industriale. Il portfolio prodotti è molto ampio e diversificato: le soluzioni Siemens indirizzano tutti gli “strati” previsti dallo standard IEC 62443, dal punto di vista di Plant Security, Network Security, System Integrity e intelligenza artificiale. Per quest’ultimo aspetto, ad esempio, Siemens dispone di soluzioni di Industrial Anomaly Detection, che tramite algoritmi di machine learning determinano le condizioni standard di funzionamento dell’impianto, in modo da poter rilevare in tempi rapidissimi le anomalie sui flussi dati tra i diversi dispositivi in campo.
Siemens è pertanto in grado di proporre ai propri clienti soluzioni integrate che garantiscono la sicurezza informatica su linee e impianti produttivi e, non da ultimo, ha unito le forze con aziende leader di tutto il mondo firmando insieme a loro il “Charter of Trust”, cioè la prima carta congiunta nata per raccogliere regole e standard con l’obiettivo di promuovere la cybersecurity come fondamento del processo di digitalizzazione delle Aziende.
Sicurezza: dalle fasi di assessment all’ottimizzazione, per un sistema sicuro
Assess Security
Per prima cosa, è fondamentale una valutazione trasparente e approfondita del livello di sicurezza aziendale. Siemens esamina i sistemi di controllo industriali delle aziende che ne fanno richiesta alla ricerca di specifiche vulnerabilità e considera il grado di esposizione a possibili rischi, secondo un approccio basato sulla valutazione dei rischi. Esamina i sistemi aziendali alla ricerca di specifiche vulnerabilità e grado di esposizione ai possibili rischi: opera un inventario dei dispositivi in campo e rileva l’attuale topologia di rete, effettua un Security Assessment secondo la normativa di riferimento IEC 62443, identifica le vulnerabilità (Vulnerability Assessment a mezzo Ethical Hacking e Penetration Test), e definisce le regole e le misure più efficaci in relazione all’architettura di rete dell’impianto. Nel dettaglio, Siemens offre i seguenti servizi:
- Industrial Security Check: veloce assessment di una giornata in impianto;
- IEC 62443 Assessment: identifica i rischi di Security e definisce misure per mitigarli
- ISO 27001 Assessment.
- Risk & Vulnerability Assessment: identifica analiticamente, classifica e valuta secondo un programma “risk-based”.
- Scanning Services o inventario dettagliato degli asset OT attraverso inventory tools.
Implement Security
In tema di cybersecurity, oltre ad implementare metodi innovativi e tecnologie all’avanguardia per la mitigazione dei rischi, Siemens definisce misure a livello organizzativo ed eroga formazione al personale di stabilimento: dal responsabile di produzione all’operatore di linea, perché è fondamentale che la mole di dati relativi ai macchinari, sia a scopo di controllo performance che di manutenzione, raggiunga in modo sicuro il livello IT come è imprescindibile la continuità di esercizio a mezzo di meccanismi atti a garantirla (ridondanza di reti, segmentazione celle di automazione, disaster recovery ecc.).
Attualmente e comunemente vi è poca o nessuna formazione su tematiche di cybersecurity all’interno degli ambienti di produzione, solo conoscenze di base con un approccio IT, rivolto spesso solo a personale di ufficio (acquisti, amministrazione, ecc.). Tenendo però in maggiore considerazione il fatto che anche il personale in mondo OT è esposto ai rischi dovuti da cyberattacchi esterni e/o ad errore umano, occorre incrementare la consapevolezza del personale di produzione su tematiche di sicurezza per ridurre drasticamente il rischio di incidenti.
Nel dettaglio, Siemens offre i seguenti servizi:
- Security Awareness Training: formazione specifica e personalizzata online su Cybersecurity per ambienti di produzione.
- Industrial Security Consulting
- Automation Firewall Next Generation: la prima linea di difesa contro le minacce strutturate.
- Application Whitelisting
- Antivirus
- Industrial Anomaly Detection: per garantire trasparenza sulle comunicazioni tra i diversi asset di produzione.
Manage Security
Il tema della sicurezza industriale prevede un insieme di azioni da implementare ciclicamente, perché il livello di sicurezza raggiunto oggi potrebbe essere insufficiente domani; purtroppo, non passa giorno che gli hacker non sviluppino metodi sempre più sofisticati per violare con facilità ciò che fino ad un momento prima poteva ritenersi “sicuro”. Siemens si impegna affinché la strategia e le misure in essere siano costantemente adattati ai nuovi scenari e agli standard di sicurezza anch’essi sempre in continua evoluzione, garantendo trasparenza e individuazione precoce delle minacce e offrendo sistemi di gestione completa degli aggiornamenti software (patch management) necessari a mantenere il livello di sicurezza desiderato. Nel dettaglio, Siemens offre i seguenti servizi:
- Industrial Security Monitoring
- Industrial Vulnerability Manager
- Patch Management